Влияние прекращения регистрации Freenom на киберпреступность

Freenom, которая предлагает бесплатные доменные имена в зоне .tk и некоторых других нДВУв настоящее время подал в суд на Meta за игнорирование жалоб о злоупотреблениях. Впоследствии Freenom приостановила регистрацию новых доменов в марте 2023 года. Совсем недавно .ga (Габон) и .ml (Мали) ушли от провайдера.

Эти изменения привели к резкому сокращению количества киберпреступлений в этих TLD, где бесплатные и легко приобретаемые домены уже давно привлекают преступников. Однако отказ от Freenom не обошелся без инцидентов: сотни доменов в .ml были замешаны в схема опечатки доменов в военном TLD США .mil и отсроченной миграции в .ga, что позволило новым владельцам регистрации отобрать существующие домены у их предыдущего владельца.

нДВУ Габона и Мали переводятся из Freenom

В июне, мы отметили что .ga был переведен из Freenom обратно в Национальное агентство цифровой инфраструктуры и частот Габона (ANINF). Afnic, французский реестр ccTLD, помогает перенести TLD из правительства Габона. АНИНФ и Афник совместно заявил это решение связано с «неспособностью компании Freenom, которая до сих пор управляла ДВУ .ga, предоставить интернет-сообществу удовлетворительные услуги».

В рамках миграции было деактивировано несколько миллионов доменных имен .ga. Первоначальные результаты опроса веб-серверов, проведенного Netcraft в августе 2023 года, показывают, что более 99,99% доменов .ga перестали работать. Количество веб-доменов .ga резко сократилось: с 5,3 миллиона в опросе в мае до всего 2601 в опросе в августе. Это результат активного отключения доменных имен .ga ANINF. Чтобы повторно активировать свое доменное имя, ANINF объясняет, что владельцы доменных имен должны связаться с их регистраторами.

Между переносом домена .ga в ANINF и переносом отдельных платных доменов .ga к новому регистратору произошла задержка. Сейфы. Некоторые домены (теле.га, google.ga) были быстро перенесены, хотя многие законные домены могли быть уязвимы для захвата в течение этого периода, о чем свидетельствует asti.ga, который был перерегистрирован в Gandi его законным владельцем в течение окнаперезаписывая предыдущую регистрацию.

17 марта Мали также расторг контракт с Freenom. Киберпреступность на .ml не является чем-то новым: Мали был TLD с наибольшим количеством киберпреступлений Netcraft увидела, что в течение двух месяцев после того, как в июле 2013 года домены .ml стали бесплатными для регистрации.

Неверно направленная электронная почта военных США

Йост Зуурбир, генеральный директор Freenom, недавно объявлено что с января он собрал десятки тысяч электронных писем, предназначенных для доменов .mil, но ошибочно отправленных на эквиваленты .ml, раскрывая конфиденциальную информацию, такую ​​как дипломатические документы, пароли и маршруты высших должностных лиц. Зурбьер подчеркнул риск того, что правительство Мали будет иметь возможность получать эти неправильно направленные электронные письма после истечения срока действия контракта с Freenom.

Netcraft идентифицировала 59 доменов .ml, у которых есть аналог .mil, включая ВВС США (af.ml), армию (army.ml), морскую пехоту (marines.ml), военно-морской флот (navy.ml) и Пентагон ( пятиугольник.ml). Все эти домены имеют записи DNS, указывающие на то, что электронные письма должны быть доставлены на handle.catchemail.ml. В настоящее время это указывает на регион AWS eu-west-1.

Впервые мы увидели запись MX для dfas.ml, указывающую на handle.catchemail.ml, во втором квартале 2015 года, и с тех пор запись оставалась на месте каждый раз, когда мы ее запрашивали. dfas.ml — это опечатка dfas.mil, доменного имени Финансово-бухгалтерской службы Министерства обороны США.

Что мы обнаружили?

Freenom приостановил новые регистрации в марте 2023 года. Обзор веб-сервера с нашим разведка глобальных угроз показывает, что было:

• значительное сокращение количества фишинговых атак, блокируемых каждый месяц в доменах верхнего уровня Freenom с начала этого года (с 2865 доменов, обслуживающих хотя бы один фишинговый URL, заблокированный в январе, до 462 в июне)
• значительное сокращение количества фишинговых блоков .ga по сравнению с другими TLD, которыми управляет Freenom (с 369 доменов, обслуживающих как минимум один фишинговый URL-адрес, заблокированный в январе, до всего 16 в июне).
• резкое сокращение количества веб-доменов .ga (с 5,3 миллиона доменов в опросе в мае до 2601 в опросе в августе).

Однако переход на ANINF не положил конец злонамеренному использованию TLD .ga. С 7 июня, опечатки скупают короткие доменные имена .ga освобождается переходом. 822 веб-домена .ga, видимых на данный момент (например, pastebin[.]ga) в настоящее время указывают на Треллиан, компания по парковке доменов. При посещении эти припаркованные домены перенаправляются через рекламную сеть по различным направлениям. Мы наблюдали одно перенаправление на мошенничество с инвестициями в криптовалюту: конечный URL после того, как цепочка редиректов была immediateedgebot-appl-en[.]tazadoko[.]com.

Мы также обнаружили фишинговые сайты (которые с тех пор перестали работать), нацеленные на Amazon, Microsoft и Chase Bank.

Как Netcraft может помочь?

Netcraft отслеживает регистрацию DNS, файлы зон и журналы прозрачности сертификатов для доменов и имен хостов, обманчиво похожих на имена наших клиентов. Наш высокоавтоматизированный платформа защиты от цифровых рисков ищет опечатки, атаки гомоглифов и другие похожие домены. Обнаруженные олицетворения отслеживаются, и как только обнаруживается вредоносное содержимое, они сняли.

Это является частью нашей обширной платформы обнаружения киберпреступлений и глобальной аналитики киберугроз, которая обеспечивает защита бренда в Интернете некоторым из крупнейшие компании и правительства в мире. Свяжитесь с нами чтобы узнать больше.